Cisco geeft beveiligingsupdate voor Cisco IOS XE vrij

Cisco heeft een beveiligingsupdate uitgebracht om een kwetsbaarheid in Cisco IOS XE aan te pakken. Een externe aanvaller kan misbruik maken van dit beveiligingslek om controle te krijgen over een getroffen systeem. Het Cybersecurity and Infrastructure Security Agency (CISA) moedigt gebruikers en beheerders aan om het Cisco Security Advisory te lezen en pas de nodige update toe.

Een kwetsbaarheid in de webgebaseerde gebruikersinterface (web-UI) van Cisco IOS XE Software kan een niet-geverifieerde, externe aanvaller in staat stellen een cross-site request forgery (CSRF) -aanval uit te voeren op een getroffen systeem.

Het beveiligingslek wordt veroorzaakt door onvoldoende CSRF-beveiliging voor de webinterface op een getroffen apparaat. Een aanvaller kan misbruik maken van dit beveiligingslek door een gebruiker van de interface te overreden een schadelijke link te volgen. Een succesvolle exploit kan de aanvaller toestaan ??om willekeurige acties uit te voeren met het privilege-niveau van de betreffende gebruiker. Als de gebruiker beheerdersrechten heeft, kan de aanvaller de configuratie wijzigen, opdrachten uitvoeren of een betrokken apparaat opnieuw laden.

Cisco heeft software-updates uitgebracht die dit beveiligingslek aanpakken. Er zijn geen oplossingen om dit beveiligingslek te verhelpen.

Dit advies is beschikbaar op de volgende link: 
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190612-iosxe-csrf